CN và các lĩnh vực SAN khen nhau và do đó phù hợp tôi đặt CN để server.domain.local và trong SAN Tôi có DNS: server.domain.tld
Không (nhưng bài đăng đó đã cũ rồi).
Đặt tên DNS là Tên chung (CN) không được chấp nhận bởi cả IETF và Diễn đàn CA/Trình duyệt. Bạn nên đặt tất cả các tên DNS trong Subject Alternate Name (SAN). Sử dụng CN cho một tên thân thiện như "Example LLP" kể từ khi nó được hiển thị cho người dùng.
Theo yêu cầu cơ bản của CA/Trình duyệt (BR), tên DNS trong CN cũng phải có mặt trong SAN. Xem CA/B BR, Section 9.2.
Chrome ít nhất, tôi có thể duyệt đến server.domain.tld (SAN entry) mà không có lỗi nhưng tôi nhận được một lỗi tên không khớp thường gặp ở server.domain.local (CN)
Chrome đang từ chối giấy chứng nhận nếuserver.domain.local
là hiện diện trong CN, nhưng không phải là hiện diện trong SAN. Vi phạm CA/B BR nếu nó không có trong cả hai.
Tôi có nên có cả hai server.domain.local và server.domain.tld trong lĩnh vực SAN
Vâng, đặt cả tên DNS trong SAN. Không đặt tên DNS trong CN. Sử dụng CN cho một tên thân thiện.
Để hoàn chỉnh, CA/B là viết tắt của CA và trình duyệt. Họ có một câu lạc bộ khép kín và họ có chính sách riêng để cấp chứng chỉ. Đừng mong đợi các trình duyệt làm những việc như được chỉ định trong các tài liệu IETF.
Và nếu bạn đang xác thực chứng chỉ X509 được sử dụng trong tự nhiên do CA là thành viên của CA/B, thì bạn nên xác thực bằng CA/B BR chứ không phải tài liệu IETF.
Tôi tin rằng bạn cuz đó là những gì tôi đang trải qua IRL nhưng những gì về RFC 5280 (Phần 4.1.2.6) mà có dấu ngoặc kép câu trả lời khác? – JonoCoetzee
RFC5280 chỉ chung cho các cấu trúc PKI. RFC2818 và RFC5216 thay vì đối phó với xác minh chứng chỉ trong ngữ cảnh của các giao thức ứng dụng cụ thể. Ví dụ: RFC5280 rõ ràng không giải quyết việc xử lý các ký tự đại diện, trong khi RFC2818 thực hiện. Vâng, điều này rất khó hiểu: ( –
Bạn không đề cập đến RFC 6125 thay vì 5216? – Bruno